天天要闻

两强联手 防护资安破口

有愈来愈多的制造业,选择采取资安措施以确保智慧制造的投资得以回收。图/Rockwell Automation提供

前言:根据那斯达克上市资安公司Fortinet所发布2023年勒索软体调查报告指出,「面对勒索软体威胁时,制造业实际付款比例和遭索取金额,为所有产业里排名第一。」

自动化巨擘Rockwell Automation与全球知名的资安公司Fortinet宣布强强联手,要携手为制造业量身打造全面的资安防护解决方案,提供基于安全的数位转型、能源转型,以及本领域的关键资安应用与服务,既确保资料隐私防护,同时将潜藏资产风险降至最低。本次合作不仅是产品面有更大的弹性与合作,更是智造、资安解决方案的强强整并。本报特别独家访谈台湾洛克威尔国际公司半导体工业自动化重点客户经理洪睿正与Fortinet在台OT事业拓展经理陈心怡。

问:怎样的机缘促成自动化巨擘Rockwell Automation与网路安全的领先创新者Fortinet正式合作?

洪:这次合作源于现今数位转型的趋势下,OT与IT融合的过程中衍生出庞大对资讯/资料安全的市场需求。以往工厂里的OT及IT的网路是分开的,现在两者需要融合,基于OT对于资安的处境,由最熟悉OT的厂商提出的解决方案将最为适合OT端的需求,因为工业控制资安解决方案、功能非IT业者所能提供。洛克威尔具备工控自动化方面的专长,深谙OT端的底/中/上层完整架构与KnowHow,希望藉用Fortinet的工具,融合双方的专业知识,为客户架构OT资安的解决方案。

陈:解决方案必须能对症下药、解决客户的痛点。洛克威尔拥有丰沛的OT第一线经验,由他们指出使用者遇到的状况、痛点,经过Fortinet分析消化之后,基于洛克威尔既有的解决方案,再从Fortinet五十多种解决方案中挑出客户所需,能快速实现解决方案落地。

Fortinet的新世代防火墙FortiGate,市占率在全世界防火墙产品市场超过一半,台湾占有率更高达六成以上,在工控资安方面,不论IT或OT都有相对应的工具及解决方案。我们很荣幸与工业自动化领域的佼佼者洛克威尔合作,这次合体将带领Fortinet的纵向深耕、横向拓销都更进一步。

问:对于台湾资安需求现况的观察?

陈:Fortinet在2022年针对企业现况进行资讯安全现况调查,发现其中九成企业在过去一年,至少有一次被骇客攻击的经验,这些企业现场的可视化程度相对比较低,既不清楚现场有何资产种类、位置、数量等,即使遭受骇客攻击也无从得知。

洪:我想举其一个半导体大厂客户的例子,「他在遭受资安攻击后损失重大,因此才开始寻求解决方案,但现场可视化程度太低,洛克威尔提出先让厂区的资产可视化,受到骇客攻击时才能够立刻反应(知道);后续再平行拓展更全面的资安解决方案,这部份正与Fortinet合作。」未来希望由此成功案例,将经验复制到同类型的其他公司,甚至横向扩大至其他产业。

问:目前台湾制造业的资安破口,你怎么看?

洪:要推动台湾资安产业化,对洛克威尔而言是个很好的契机。2018年护国神山的机台中毒、损失重大,对业界造成震撼警示,因此开始重视资安风险,对此话题的接受度也大幅提高。但是客户往往想要知道投资回报率,这方面很难量化,洛克威尔只能提供实际案例。不过国内知名晶圆代工厂已经导入工业控制资安解决方案,只要半导体大厂愿意投资,中小企业就容易跟进。近年在工业控制领域资安问题频传是实情,为了确保大笔投资的智慧制造不会成为失血的破口,建议所有正要导入数位化的工厂都必须采取资安措施以确保投资有望回收。

陈:台湾要发展工业4.0,资安可以参与介入的面很广;经过这两年大疫促进数位转型加速,市场也的确浮现契机。重点是客户要有病识感,否则根本企业对如何做只是观望、犹疑、原地踏步,就不用谈我们能提供多有用的方案。台湾要如何推展,我想可以从两方面着手:一、学习美国某些州已设立工控资安的相应法规,未来台湾在基础建设上如果也设立资安法规,推展就会比较快。二、半导体及外销厂商对资安的需求比较多,可以先进行教育推广。

问:常见于制造业的资安问题?

陈:Fortinet有一个传产金属加工业者;在他们的MES系统中,遭受骇客攻击;硬碟上的档案受到加密,导致丧失资料的存取权,骇客勒索支付赎金,并且要求以比特币支付,以避免追踪赎金去向,事后才为资安做进阶部署。这样的案例很多,多数是机台中毒。而据Fortinet调查发现,四分之一的制造业遭勒索的金额高达100万美元(约合新台币3,000万元)以上。

「投资资安防护是否能达到100%的安全性」又是一个常被问到的问题。我要说,没有一家资安厂商可以保证防护做到滴水不漏,但是「可以将风险降至最低」,就是把感染原隔离开;一部机台中毒,就加以锁住,不会跨厂区蔓延。仅这一点就有极大价值。

问:很想打破的客户迷思?

陈:客户有倾向头痛医头、脚痛医脚的情形,但其实会适得其反。实际经验是「相对于使用传统单点资安产品,导入整合式网路安全平台的企业,更不容易成为勒索软体威胁下的受害者。」

洪:对资安防护的架构,我们建议企业要有全盘的规划,不是找代理商购买个别资安产品,单打独斗的防御产品,会使系统的连动产生问题,提高系统使用的复杂度,安全性因而无法提升。建议最好找?决方案供应商,提供顾问式服务,在资安的考量、设计或执行上才能更全面。

相关资讯

DMCA | PRIVACY | s@bg3.co